Oleh Ivan Manchev, Pengurus Komunikasi di Ambire
Salah satu cabaran sebelum penggunaan kripto dan DeFi yang lebih meluas ialah pengurusan utama. Cukup mengejutkan, konsep log masuk e-mel web2 boleh menyelesaikannya – walaupun dengan cara bukan penjagaan.
Pada Frasa Benih
- Sendiri 2. Silau 3. Kesucian 4. Batin 5. Pembohong 6. Kawat. …. ???
Adakah anda masih ingat kali pertama anda diminta untuk menulis frasa benih? Mungkin anda keliru:
- Mengapa menulis ini di atas kertas dan bukannya hanya menampalnya dalam Nota?
- Adakah anda perlu menulis semua perkara ini untuk "log masuk" ke aplikasi Web3 setiap kali?
- Bolehkah anda menukar perkataan itu kepada perkataan yang lebih dikenali?
- Ugh, tidak bolehkah mereka meminta kata laluan atau sesuatu?
Frasa benih tidak begitu buruk tetapi ia kelihatan sangat pelik jika anda tidak tahu cara kriptografi berfungsi. Dan kebanyakan orang tidak tahu bagaimana kriptografi berfungsi.
Pada masa ini, 99% pengguna Web3 pemula datang dengan pengalaman Web2 yang berpunca daripada penggunaan e-mel/kata laluan selama bertahun-tahun sebagai pengesahan untuk akaun dan apl. Dan sementara syarikat dan dompet kripto melakukan yang terbaik untuk mendidik pengguna, kekeliruan nampaknya tidak dapat dielakkan dan membuka banyak peluang untuk penipu yang sentiasa mengintai.
Cuba sahaja percubaan ini - google "Curve" atau "Aave" atau "Uniswap" dan tekan hasil Iklan yang pertama. Cuba sambungkan dan anda akan mengalami penipuan kejuruteraan sosial yang paling biasa melibatkan frasa benih - tapak web meniru Metamask dan meminta pengguna yang mengelirukan untuk frasa benih mereka. (Sebenarnya jangan lakukan itu - sekurang-kurangnya jangan tulis frasa benih anda, sila!)
Ini berlaku sepanjang masa dan 2021 merupakan contoh hebat masalah tertunggak. Dengan peningkatan populariti NFT, ramai pengguna baharu menyertai parti crypto tahun lepas. Sesetengah daripada mereka bernasib baik untuk membeli Kelab Yacht Ape Bosan NFT dan melihat ia menghargai 1000x harga… hanya untuk dicuri kerana pengurusan kunci dompet yang lemah.
Kemudian mengapa kita masih menggunakan frasa benih dan bukannya kata laluan?
Malangnya, alamat Ethereum biasa dibuka dengan kunci peribadi - rentetan teks yang panjang. Jika anda memiliki kunci anda, anda boleh melakukan apa sahaja yang anda mahu dengan alamat anda. Anda sama ada menyimpan kunci anda dalam fail dan mengimportnya untuk membuka kunci dompet, atau anda menggunakan mnemonik frasa benih. Tiada cara untuk memperkenalkan kata laluan dan bukannya kunci peribadi…
…Baiklah, ada cara sebenarnya, tetapi dengan kos kawalan penuh ke atas dompet anda. Sesetengah perkhidmatan menyimpan kunci peribadi untuk pengguna mereka dan membenarkan mereka menggunakan kata laluan untuk membuka kunci dompet mereka. Ini membolehkan onboarding tetapi melanggar salah satu prinsip teras desentralisasi dan ia tidak jauh berbeza daripada cara perkhidmatan tradisional berfungsi. Perkhidmatan yang anda gunakan boleh memotong akses anda pada bila-bila masa tertentu.
Tetapi bagaimana jika saya memberitahu anda bahawa sebenarnya terdapat cara untuk membuka kunci dompet anda dengan e-mel dan kata laluan, sambil menyimpan kunci anda?
Inilah dompet pintar
Dompet pintar telah banyak dibincangkan pada masa lalu: anda mungkin pernah mendengar konsep serupa yang dipanggil "abstraksi akaun".
Pada dasarnya ideanya ialah setiap akaun Ethereum akan menjadi kontrak pintar, yang membuka banyak peluang untuk meningkatkan UX crypto. Untuk tujuan artikel ini, kami akan menumpukan pada pengurusan utama.
Daripada menggunakan hanya satu kunci kriptografi untuk menjamin akaun, dompet pintar membenarkan berbilang kunci digunakan menggunakan peraturan tertentu. Sebagai contoh, anda boleh menyediakan akaun untuk dikawal oleh 2 kekunci, satu daripadanya ialah peranti mudah alih anda dan satu lagi dompet perkakasan Trezor anda, dengan peranti mudah alih mempunyai kebenaran terhad dan perbelanjaan harian, manakala Trezor tidak terhad. Atau anda boleh menyediakan apa yang dipanggil pemulihan sosial dengan membenarkan multisig yang dikawal oleh orang terdekat anda untuk memulihkan akaun anda.
Secara ringkasnya, dompet pintar ialah kontrak pintar yang boleh dikawal oleh lebih daripada satu kunci kriptografi - ini "mendesentralisasikan" akses kepada dompet dan membolehkan persediaan berbeza yang membolehkan anda menukar pengalaman pengguna log masuk.
Seperti yang mungkin anda duga pada ketika ini, salah satunya menggunakan e-mel dan kata laluan.
Bagaimana untuk membina dompet pintar bukan penjagaan dengan pendaftaran e-mel dan kata laluan
Kita sedia maklum bahawa dompet kontrak pintar boleh dikawal oleh dua atau lebih kunci. Apabila membuat Ambire Wallet, kami memutuskan untuk membina ciri ini dan mendayakan pendaftaran e-mel/kata laluan tanpa menjejaskan pemilikan akaun pengguna.
Ambire melaksanakan pengesahan tradisional dengan e-mel dan kata laluan seperti aplikasi Web2. Mod pengesahan ini bukan penjagaan: ia berfungsi melalui multisig dua kekunci pada rantai. Satu daripada kunci disimpan dalam storan penyemak imbas dan disulitkan dengan kata laluan pengguna, dan kunci lain disimpan pada bahagian belakang kami melalui model keselamatan perkakasan (HSM).
Anda tidak boleh mengakses dana menggunakan hanya satu daripada dua kunci, contohnya jika anda penyerang yang berjaya menjejaskan sama ada pengguna (cth melalui perisian hasad) atau HSM.
Walau bagaimanapun, prosedur pemulihan boleh dimulakan dengan satu kunci sahaja. Prosedur pemulihan ialah perubahan terkunci masa bagi salah satu daripada dua kekunci. Jika prosedur pemulihan tidak disengajakan (cth. dimulakan oleh penyerang), mana-mana pemegang kunci lain boleh membatalkannya. Tetapi jika ia telah dimulakan secara sah (cth. jika anda kehilangan salah satu daripada dua kunci atau anda terlupa kata laluan anda), anda hanya boleh menunggu untuk kunci masa dan anda akan mempunyai akses ke akaun anda kembali selepas ini.
Untuk meringkaskan, akaun e-mel/kata laluan ialah dompet berbilang tandatangan, yang membuka kunci:
- Apabila 2 tandatangan dibekalkan – digunakan dalam mod operasi biasa; atau
- Apabila 1 tandatangan dibekalkan, tetapi dengan kunci masa; digunakan untuk pemulihan kata laluan, atau sekiranya bahagian belakang Ambire tidak tersedia.
Kekunci kedua biasanya dibuka kunci oleh kod pengesahan khusus untuk (dihasilkan daripada cincangan) transaksi, tetapi kaedah pengesahan lain seperti OTP 2FA atau FaceID boleh digunakan.
Faedah tambahan model ini ialah kunci kedua boleh menguatkuasakan peraturan keselamatan tambahan seperti had perbelanjaan dan menyemak kontrak atau panggilan berniat jahat (cth, kelulusan tanpa had kepada EOA). Memandangkan peraturan tersebut disemak di luar rantaian oleh HSM, ia boleh diubah suai atau dipertingkatkan dengan mudah. Tambahan pula, pemeriksaan canggih boleh dilakukan tanpa kos gas tambahan, membolehkan penggunaan AI atau ML pada masa hadapan.
Jika anda ingin tahu lebih lanjut mengenai perkara ini, anda harus menyemaknya Model keselamatan Ambire Wallet.
Bagaimana ia berlaku
Kami mengeluarkan Ambire Wallet pada bulan Disember selepas dua bulan menguji model keselamatan kami dengan pantas. Lebih daripada 45,000 pengguna mendaftar sejak itu dan teka apa – majoriti akaun dikawal oleh e-mel dan kata laluan. Pada masa ini kami sedang berusaha untuk mengeluarkan versi mudah alih dompet untuk iOS dan Android pada separuh pertama tahun ini. Ini akan menjadi ujian sebenar model pendaftaran e-mel+kata laluan kerana kami menjangkakan untuk menarik orang yang tidak mempunyai pengalaman Web3 sebelumnya.
Jika anda berminat untuk mencuba Ambire Wallet, pergi ke https://www.ambire.com/ dan buat akaun anda dalam masa kurang daripada seminit.
Sumber: https://cryptodaily.co.uk/2022/02/future-web3-logins-email-password